4

出于安全目的,我将文件存储在 public_html 文件夹之外。但是,我想以某种方式链接到特定文件,用户可以在其中下载这些文件之一。

我正在使用一个 jquery 脚本,它允许我将服务器 PATH 指定为上传文件夹,并且它确实在 public_html 文件夹之外上传。

唯一的问题是它需要我指定用于下载文件的“上传路径”的 URL。我想我可能能够做到:

public_html/redirect (contains htaccess which forwards all requests to "hiding" folder)

hiding (outside public_html)

A user clicks /redirect/file.doc and they download a file located at hiding/file.doc

这可能吗?如果没有,我怎样才能让特定的文件下载访问我的 public_html 目录之外的文件?我知道我以前在其他脚本上看到过它......

4

3 回答 3

10

您可以使用“php 下载处理程序”执行此操作:

您可以使用这样的方法将文件内容和文件信息头返回给用户浏览器,只需确保在此之前没有输出任何其他内容。

我建议你把它放到单独的文件中,例如调用它download.php

function returnFile( $filename ) {
    // Check if file exists, if it is not here return false:
    if ( !file_exists( $filename )) return false;
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    // Suggest better filename for browser to use when saving file:
    header('Content-Disposition: attachment; filename='.basename($filename));
    header('Content-Transfer-Encoding: binary');
    // Caching headers:
    header('Expires: 0');
    header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
    header('Pragma: public');
    // This should be set:
    header('Content-Length: ' . filesize($filename));
    // Clean output buffer without sending it, alternatively you can do ob_end_clean(); to also turn off buffering.
    ob_clean();
    // And flush buffers, don't know actually why but php manual seems recommending it:
    flush();
    // Read file and output it's contents:
    readfile( $filename );
    // You need to exit after that or at least make sure that anything other is not echoed out:
    exit;
}

将其扩展为基本用途:

// Added to download.php
if (isset($_GET['file'])) {
    $filename = '/home/username/public_files/'.$_GET['file'];
    returnFile( $filename );
}

警告:

这是一个基本的例子,并没有考虑到用户可能会试图利用一些$_GET没有得到适当清理的邪恶优势。

这基本上意味着passwd如果某些条件适用,用户可以例如检索文件或其他一些敏感信息。

例如,检索/etc/passwd

只需将浏览器指向http://server.com/download.php?file=../../../etc/passwd服务器即可返回该文件。因此,在实际使用之前,您应该了解如何正确检查和清理任何用户提供的参数。

于 2012-04-22T23:23:05.847 回答
1

不可能为public_html.

mod_rewrite仅重写请求,但路径仍应可供用户使用。

于 2012-04-22T23:15:04.497 回答
0

另一种执行此操作的标准方法是使用mod_xsendfile——它将允许 Web 应用程序通过在标头 (X-SendFile) 中指定路径来让 Web 服务器发送一个文件作为其输出。

于 2012-04-22T23:37:15.050 回答